A Resolução CD/ANPD nº 4 e os critérios para a dosimetria das sanções ​​administrativas da LGPD

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020 no Brasil e estabelece regras para a coleta, tratamento e armazenamento de dados pessoais por empresas e órgãos públicos. Com a finalidade de garantir a proteção e privacidade dos dados dos cidadãos, a Agência Nacional de Proteção de Dados (ANPD) foi criada em 2021. Entre suas atribuições da agência, está a aplicação de sanções administrativas em caso de infrações da LGPD.

Para estabelecer critérios claros e objetivos para as sanções ​​administrativas da LGPD, a ANPD publicou em dezembro de 2021 a Resolução CD/ANPD nº 4. Essa resolução define os fatores que devem ser considerados para a dosimetria das sanções e estabelece um processo a ser seguido para sua aplicação. Vale destacar que empresas que investem em governança e evidenciam que estão se esforçando para proteger os dados dos cidadãos poderão ter suas penas reduzidas ou até mesmo eliminadas.

Para evitar sanções, é fundamental que as empresas implementem políticas de proteção de dados eficazes e estejam preparadas para lidar com incidentes de segurança de dados. Em caso de violação, é importante que a empresa coopere com a ANPD durante o processo de investigação e forneça todas as informações necessárias.

As sanções podem variar desde advertências até a proibição total ou parcial da atividade de tratamento de dados. A definição da sanção levará em consideração fatores como:

• natureza;
• gravidade;
• duração da infração;
• número de pessoas afetadas;
• volume de dados pessoais tratados irregularmente;
• medidas técnicas e organizacionais aceitas pelo agente de tratamento de dados;
• reincidência em infrações anteriores e 
• cooperação do agente com a ANPD durante o processo administrativo.

Dosimetria da sanção pecuniária ou multa

No caso de multa, cuja arrecadação será destinada ao Fundo de Defesa de Direitos Difusos (FDD), deverá ser estabelecida segundo critérios de dosimetria que seguem um procedimento em quatro etapas:

1ª Etapa: determinação da alíquota-base. A partir da análise de fatores como grau de afetação a direitos fundamentais e de dano ao titular, define-se a infração como leve, média ou grave, o que permitirá o cálculo da alíquota-base;

2ª Etapa: fixação do valor-base. O valor-base da multa será calculado pela multiplicação da alíquota-base pelo faturamento bruto, excluídos os tributos. Caso o agente de tratamento infrator seja pessoa física ou jurídica sem faturamento, a própria resolução estabelece valores a serem considerados;

3ª Etapa: determinação do valor da multa. Sobre o valor-base da multa aplicam-se as circunstâncias agravantes e atenuantes, situações que aumentam ou atenuam o valor da multa. 

- Circunstâncias agravantes: reincidência específica; reincidência genérica; descumprimento de medidas de orientação, preventivas ou corretivas.

- Circunstâncias atenuantes: cessação da infração antes da instauração de procedimento preparatório pela ANPD; implementação de políticas de boas práticas e governança ou adoção de mecanismos e procedimentos internos; adoção de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados; cooperação ou boa-fé do infrator.

4ª Etapa: adequação aos limites mínimo e máximo. O valor final deve respeitar os valores mínimos e máximos, que serão calculados segundo a vantagem econômica auferida pelo agente de tratamento infrator.

Por fim, destaca-se que a dosimetria é um processo fundamental para garantir que as sanções aplicadas pela ANPD sejam transparentes e justas.

Para mais informações sobre o regulamento de aplicação de sanções administrativas, entre em contato com a Becker Direito Empresarial.

Acompanhe nosso blog e siga-nos no Instagram, Facebook e LinkedIn para ficar por dentro das novidades e tendências do Direito Empresarial.